程凱 宜昌市機(jī)電工程學(xué)校

低成本校園網(wǎng)絡(luò)設(shè)計(jì)探索

程凱 宜昌市機(jī)電工程學(xué)校

1 校園網(wǎng)絡(luò)現(xiàn)狀分析

自從互聯(lián)網(wǎng)進(jìn)入人們生活后，校園這一特殊環(huán)境，也誕生了校園網(wǎng)這一特殊的網(wǎng)絡(luò)布局架構(gòu)。為什么說(shuō)特殊呢？首先，用于生產(chǎn)實(shí)踐的網(wǎng)絡(luò)應(yīng)該是企業(yè)網(wǎng)（或園區(qū)網(wǎng)），它有統(tǒng)一的定義和專業(yè)的硬軟件標(biāo)準(zhǔn)，是工業(yè)體系中的一部分。而校園網(wǎng)不同，各大中專院校的校園網(wǎng)多是在原來(lái)的微機(jī)室、計(jì)算機(jī)房、電腦室的基礎(chǔ)上逐步發(fā)展起來(lái)，然后加入到教學(xué)網(wǎng)和辦公網(wǎng)，再外接服務(wù)器等等，是一邊使用，一邊增加，一邊修改而來(lái)的。這就意味著它不可能嚴(yán)格遵循工業(yè)標(biāo)準(zhǔn)中的企業(yè)園區(qū)網(wǎng)絡(luò)布局。

其次，每一所院校，對(duì)校園網(wǎng)絡(luò)的資金投入都各不相同。而且既不連續(xù)，又在空間分布上因陋就簡(jiǎn)。結(jié)果是各級(jí)各類標(biāo)準(zhǔn)、不同時(shí)代的硬軟件，都可以在校園網(wǎng)中找到。我曾經(jīng)在同一個(gè)辦公室，遇到過(guò)Windows XP、Windows7、Windows10三代操作系統(tǒng)，并且還要求打印機(jī)共享互聯(lián)，設(shè)置起來(lái)不僅是麻煩，而且有時(shí)候?qū)崿F(xiàn)不了。

第三，校園網(wǎng)絡(luò)的安全問(wèn)題不容忽視。這一安全問(wèn)題不是來(lái)自外網(wǎng)和互聯(lián)網(wǎng)，恰恰相反，來(lái)自內(nèi)網(wǎng)。處于青年時(shí)期的大中專學(xué)生，對(duì)網(wǎng)絡(luò)充滿興趣，校園網(wǎng)是他們最方便的“樂(lè)園”。結(jié)果是，破壞性不大，但是攻擊者多。造成的后果不嚴(yán)重，但是解決起來(lái)麻煩。當(dāng)然，網(wǎng)絡(luò)管理人員的不重視，也是造成這一結(jié)果的原因之一。

最后，校園網(wǎng)雖然不大，但是承載的業(yè)務(wù)可不少，以我所在的附近幾所院校為例：一個(gè)校園網(wǎng)，必須要包括：安防監(jiān)控網(wǎng)絡(luò)分支；校園廣播電臺(tái)網(wǎng)絡(luò)分支；電視臺(tái)網(wǎng)絡(luò)分支（數(shù)字廣播電視）；辦公網(wǎng)絡(luò)分支；網(wǎng)絡(luò)鈴聲控制系統(tǒng)；學(xué)生上機(jī)實(shí)訓(xùn)機(jī)房網(wǎng)絡(luò)；各級(jí)各類對(duì)外服務(wù)器集群等等。應(yīng)用業(yè)務(wù)寬泛，各網(wǎng)絡(luò)分支對(duì)網(wǎng)絡(luò)帶寬，鏈接方式，安全性要求各不相同。

2 探索和比較

那么，有沒(méi)有現(xiàn)存的解決方案呢？

購(gòu)買專業(yè)的核心路由服務(wù)器與三層光接口交換配合，以光纖到樓，網(wǎng)線到教室（辦公室或機(jī)房）的方式級(jí)聯(lián)，使用專業(yè)的網(wǎng)絡(luò)軟件控制帶寬、流量，可以實(shí)現(xiàn)對(duì)桌面級(jí)用戶的控制。

我所在的學(xué)校也是一所歷史較久的學(xué)校，建設(shè)資金投入也比較有限。大部分資金投入都用在了新購(gòu)機(jī)房用計(jì)算機(jī)，或一些關(guān)鍵對(duì)外的服務(wù)器上了。如何合理的使用有限的資金，利用現(xiàn)存的設(shè)備，來(lái)基本實(shí)現(xiàn)上面的功能呢？我們一直在思考。

3 方案與建設(shè)

在實(shí)際比較了各種可行方案后，結(jié)合我校實(shí)際，我們采取了以RouterOS為核心路由，二層交換機(jī)為主要干線，三層交換機(jī)為輔助干線的網(wǎng)絡(luò)布局方案。服務(wù)器集中于DMZ管理，辦公業(yè)務(wù)相對(duì)集中，存儲(chǔ)、打印、共享均衡分布的理念。下面我就來(lái)談?wù)勎覀兙唧w的結(jié)構(gòu)：

①RouterOS核心路由。我們學(xué)校淘汰了許多舊PC機(jī)，雖然安裝桌面操作系統(tǒng)很慢，但是這部分PC機(jī)的電源質(zhì)量過(guò)硬?？沙掷m(xù)長(zhǎng)時(shí)間運(yùn)行。我們購(gòu)買了多塊千兆網(wǎng)卡，安裝在普通PC機(jī)上，使用RouterOS軟件做路由，連接互聯(lián)網(wǎng)和本地局域網(wǎng)。順利解決了核心路由問(wèn)題。而且我們還設(shè)置了晚間路由關(guān)機(jī)休息，合理有序，大幅度減低的故障率；

②樓宇間干線連接。這里區(qū)分兩種情況：一、距離中心機(jī)房校近的辦公室、監(jiān)控室、服務(wù)器機(jī)房。均采用6類屏蔽雙絞線完成連接，節(jié)約成本，便于維護(hù)；二、其它樓棟均采用管溝光纜鋪設(shè)，光電轉(zhuǎn)換器連接。這也是可靠性的有效保障，為今后的帶寬擴(kuò)展做準(zhǔn)備。除學(xué)生計(jì)算機(jī)中心外，其它樓宇均用二層交換機(jī)。計(jì)算機(jī)中心由于要對(duì)學(xué)生上網(wǎng)進(jìn)行嚴(yán)格控制管理，使用三層交換機(jī)做細(xì)節(jié)性管控。

③教師用辦公電腦、教室授課電腦、服務(wù)器等連接外網(wǎng)方式。網(wǎng)絡(luò)的管理一直是個(gè)大問(wèn)題，既要保證網(wǎng)絡(luò)帶寬的合理分布和使用，又要防止濫用。我們采用的是PPPoE和綁定MAC地址上網(wǎng)兩種結(jié)合管理的方式。我們?cè)赗outerOS核心路由上開放兩種上網(wǎng)模式；對(duì)教師備課、辦公用、教室學(xué)生用的電腦采用PPPoE撥號(hào)上網(wǎng)的方式，這種方式靈活方便，可以有效看著帶寬。一人一號(hào)，可以有效阻斷廣播風(fēng)暴對(duì)局域網(wǎng)的破壞。而服務(wù)器、監(jiān)控設(shè)備、廣播、以及其它業(yè)務(wù)用設(shè)備，我們開放一個(gè)固定網(wǎng)段，收集這些設(shè)備網(wǎng)卡的MAC地址，將地址和IP綁定使用。不僅可以有效的避免這些IP地址的濫用，而且保證了帶寬，隔離了普通上網(wǎng)設(shè)備，一舉多得。

④內(nèi)部非上網(wǎng)設(shè)備的控制管理。打印機(jī)、內(nèi)部FTP等不需上網(wǎng)的設(shè)備，單獨(dú)劃分為一個(gè)網(wǎng)段，僅供內(nèi)部合法人員使用。FTP通過(guò)賬號(hào)密碼的管理方式，打印機(jī)可以利用舊PC+Linux系統(tǒng)安裝打印服務(wù)器，通過(guò)共享服務(wù)器的方式提供服務(wù)，大大節(jié)約成本，各科室即使系統(tǒng)差別大，通過(guò)共享問(wèn)題迎刃而解。

我們將我們方案逐步實(shí)行后，局域網(wǎng)內(nèi)的病毒傳播問(wèn)題得到了有效控制，上網(wǎng)效率提高，外網(wǎng)服務(wù)也得到了保證，可以說(shuō)是得到了一致好評(píng)。

4 思考與改進(jìn)

上面的規(guī)劃實(shí)施運(yùn)行了一年多后，我們就運(yùn)行過(guò)程中出現(xiàn)的問(wèn)題、以及我們自己覺得還可以提升的方面又做了一次總結(jié)，發(fā)現(xiàn)我們還有不少值得改進(jìn)和新探索的地方。

①核心路由的穩(wěn)定性保證。核心路由運(yùn)行一般比較穩(wěn)定，最長(zhǎng)時(shí)間是穩(wěn)定運(yùn)行了300多天，無(wú)人工干預(yù)。雖然和電信級(jí)的設(shè)備不可同日而語(yǔ)，但是對(duì)于校園網(wǎng)來(lái)說(shuō)，已經(jīng)非常不錯(cuò)了。值得改進(jìn)的地方就是：應(yīng)該使用電子盤代替機(jī)械盤或固態(tài)盤，這樣損耗更低。如果資金條件允許，用arm架構(gòu)的工控機(jī)代替x86架構(gòu)設(shè)備，相信功耗更低。

②某些關(guān)鍵服務(wù)器，可以采用雙機(jī)熱備。一般性服務(wù)器如打印共享設(shè)備，至少采用冷備份。